راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

عکاس: حامد کریم‌زاده
امنیتانتخاب سردبیر

تحلیل مدیرعامل نبض‌افزار در خصوص جایگاه پلیس فتا در ایجاد امنیت شبکه / نگاه حاکمیت به امنیت نابالغ است

نویسنده: زهرا قربانی 0

دهم اسفندماه پلیس فتا در پیامکی به صاحبان کسب‌وکارهای مجازی هشدار داد تا به قید فوریت نسبت به قطع و جداسازی سیستم اتوماسیون اداری بومی چارگون از بستر اینترنت اقدام کنند. پلیس فتا در این پیامک از وجود بحرانی در سیستم اتوماسیون اداری چارگون خبر داد. این اقدام و شیوه اطلاع‌رسانی از سوی فتا، واکنش‌های زیادی را در پی داشت. محمدرضا جمالی، مدیرعامل شرکت نبض‌افزار و عضو کمیسیون اقتصاد دیجیتال اتاق بازرگانی بین‌المللی در گفت‌و‌گو با «راه پرداخت» این موضوع را از ابعاد گوناگون بررسی کرد. او معتقد است مأموریت و مسئولیت پلیس فتا در حوزه جرم سایبری است و شرکت چارگون جرمی مرتکب نشده است. چارگون شرکتی با مدل کسب‌و‌کاری B2B است و این هشدار نباید به این صورت اطلاع‌رسانی می‌شد.

نگاه حاکمیت باید ریسک‌محور باشد

محمدرضا جمالی با اشاره به بحث امنیت در دنیا توضیح داد: «در همه جای جهان کسب‌و‌کارها مورد حمله سایبری قرار می‌گیرند و سعی می‌کنند با آن مقابله کنند. مسئله امنیت به قدری مهم است که اتاق بازرگانی بین‌المللی که در پاریس قرار دارد سال ۲۰۲۳ و ۲۰۲۴ به مقوله امنیت سایبری توجه ویژه‌ای دارد و کشورها و کسب‌وکارها را با شعار جریان اطلاعات در بستر امن به حرکت در مسیر تبدیل دیجیتال (تحول دیجیتال) تشویق می‌کند.»

او ادامه داد: «لازم است نگاه ما به مقوله امنیت نگاهی ریسک‌محور باشد. به‌عنوان مثال کمیته بال ۲ در ریسک عملیاتی دو مبحث تداوم عملیات و امنیت زیرساخت‌ها را با هم در نظر می‌گیرد. سیاست امنیتی که باعث شود تداوم عملیات صورت نگیرد و با چالش مواجه شود با حمله سایبری تفاوتی ندارد و سطح امنیت از حدی بالاتر رود ریسک تداوم عملیات و در نتیجه ریسک عملیاتی به‌شدت افزایش می‌یابد. وقتی نگاه ما ریسک‌محور باشد برای صد هزار تومان گاوصندوق پنج‌تنی نمی‌خریم.»

جمالی با اشاره به فلسفه دیجیتالی‌شدن توضیح داد: «سازمان‌هایی مانند پلیس فتا، پدافند غیرعامل و شورای عالی فضای مجازی به‌خصوص در دولت جدید به‌شدت از نظر دانش تهی شده‌اند و متخصصان، صاحب‌نظران و فرهیختگان زیادی را می‌بینیم که از این سازمان‌ها کنار گذاشته شده‌اند. دولت جدید با فلسفه دیجیتالی‌شدن آشنا نیست. من وقتی عملکرد این دوستان را می‌بینم یاد جنگ دوم خلیج‌فارس می‌افتم که عراقی‌ها به جای اینکه با روش‌های رمزنگاری مناسب و استفاده از روش‌های انتقال داده دیگر، اطلاعات را ردوبدل کنند از موتورسیکلت استفاده می‌کردند که شنود نشوند! این روش جدید آنها به خاطر تجربه بد آنها در جنگ اول خلیج فارس بود که به جای تقویت دانش مخابراتی و اطلاعاتی خود به روش‌هایی روی آوردند که به سریع‌تر شدن پروسه شکست آنها کمک شایانی کرد.»

او گفت: «شرایطی را تصور کنید که حمله‌ای به یک سازمان صورت گرفته و شرکت پیمانکار آن سازمان از این حمله مطلع می‌شود. تیم امنیت آن شرکت با دسترسی امن از راه دور وارد عمل می‌شود و سریع مسئله را مدیریت می‌کند. حالا دوستان آمده‌اند و این دسترسی را قطع می‌کنند. چه اتفاقی می‌افتد. چطور این حمله دفع می‌شود؟ نتیجه این می‌شود که هکرها سریع‌تر به نتیجه دلخواه خود می‌رسند و شرایطی که می‌خواسته‌اند توسط نهادها و تنظیم گران در ظاهر دلسوز ولی بی‌دانش فراهم می‌شود.»

حاکمیت عامل ایجاد بسیاری از مشکلات کسب‌و‌کارهاست

محمدرضا جمالی گفت: «حاکمیت باعث ایجاد بسیاری از چالش‌ها و مشکلات کسب‌و‌کارهاست. مورد اول اینکه باید توجه کنیم که اقدامات سازمان‌یافته زیادی در سال‌های قبل و هم اکنون توسط نهادهای خاص مدیریت می‌شود و حمله به تأسیسات سایبر فیزیکی و شهری کشورهای دیگر مصداق حملات تروریستی است. وقتی سدی یا شبکه برق کشوری هک می‌شود جان میلیون‌ها انسان ممکن است از بین برود و مسلماً این بی‌اخلاقی‌ها بی‌پاسخ نمی‌ماند که نمونه‌های زیادی را در تلافی این حمله‌ها به کشور می‌بینیم. مورد دوم اینکه فیلترینگ هم باعث شده که استفاده از فیلترشکن‌های بسیار زیاد شود و این فیلترشکن‌ها که اغلب آلوده هستند باعث ایجاد مشکلات امنیتی زیادی برای مردم، کسب‌وکارها و سازمان‌ها می‌شوند. شایعات زیادی را می‌شنویم که وابستگان به دولت در فروش فیلترشکن‌ها نقش دارند و درآمدهای کلانی دارند. این درآمدهای سمی به ضرر کشور است. این موضوع باعث شده که هر ریال درآمد آن هزاران ریال تولید ناخالص ما را کاهش می‌دهد. مورد سوم اینکه بسیاری از سامانه‌های ما درست طراحی نشده‌اند و فوق متمرکز هستند. اختلال در یک سامانه در بقیه نیز اثرات شدیدی ایجاد می‌کند که نمونه آن را چندین بار در رابطه با پمپ‌بنزین‌ها شاهد بوده‌ایم. شاپرک، شتاب، شبکه زیرساخت و بسیاری از موارد دیگر می‌توانسته معماری مناسب‌تری داشته باشد که مقاومت و تاب‌آوری بیشتری در اختلالات و اخلال‌های ایجاد شده داشته باشند. چهارم اینکه ما از فضای ابری جهانی استفاده نمی‌کنیم. وقتی از فضای ابری استفاده شود ریسک تداوم عملیات و ریسک امنیتی و در نهایت ریسک عملیاتی به‌شدت کاهش می‌یابد. این ساختارها بسیار امن هستند و همچنین قابلیت اعتماد بسیار بالایی دارند.»

از دنیا درس بگیریم و امنیت را به شرکت‌ها بسپاریم

به گفته مدیرعامل نبض‌افزار، چند روز پیش کاخ سفید از شرکت‌ها خواست که زبان‌های C و ++C که از نظر حافظه‌ای امن نیستند به‌مرور به‌خصوص در سامانه‌های نهفته کنار گذاشته شوند. ببینید این دو زبان نقش بسیار زیادی در توسعه سامانه‌ها در دهه‌های گذشته داشته‌اند و کنار گذاشتن این زبان‌ها به راحتی صورت نمی‌گیرد. کشوری که زادگاه شرکت‌های بزرگ مایکروسافت، اوراکل، اپل و صدها شرکت نرم‌افزاری و سخت‌افزاری است امنیت را به شرکت‌ها می‌سپارد و از آنها می‌خواهد از زبان‌هایی مانند RUST ،Swift و Go استفاده کنند. این زبان‌ها با تست موارد زیاد به‌خصوص در زمان کامپایل از بسیاری از مشکلات نفوذ و باگ‌ها بالقوه جلوگیری می‌کنند. 

فناوری اطلاعات کشور دچار بیماری خودایمنی است

این عضو کمیسیون اقتصاد دیجیتال اتاق بازرگانی بین‌الملل با اشاره به نگاه امنیتی حاکمیت بیان کرد: «شاید شما هم اسم بیماری خودایمنی را زیاد شنیده باشید. بیماری که گلبول‌های سفید به گلبول‌های قرمز حمله می‌کنند. این اشخاص به‌شدت ضعیف می‌شوند و رنج بسیار زیادی را در زندگی متحمل می‌شود. در کشورها نیز وقتی نگاه امنیتی حاکم می‌شود کسب‌وکارها به سختی فعالیت می‌کنند. به قدری که راهبردهای امنیتی غلط توسط افتا، فتا و قطعی دسترسی مشتریان به ما آسیب‌زده است کمبود نیروی خبره برنامه‌نویس به ما فشار نیاورده است و بیش از ۸۰ درصد انرژی، توسعه و زمان ما صرف موارد امنیتی بی مورد و همچنین رفتن به محیط مشتری می‌شود. اکنون شرایطی به وجود آمده که نرم‌افزارها به سمت ناپایداری می‌روند. رویه‌های طراحی، پیاده‌سازی، تست و انتشار نسخه به‌خوبی صورت نمی‌گیرد و حضور برنامه‌نویس در محیط مشتری بدون انجام فرایندهای توسعه علاوه بر ناپایداری می‌تواند ریشه اخلال‌های امنیتی شود و کنترل توسعه و پشتیبانی از دست شرکت‌های پیمانکار خارج شده است.»

مجوز افتا به‌تنهایی کافی و کارساز نیست

جمالی در خصوص روال دریافت مجوز افتا گفت: «پروسه گرفتن این مجوز به سادگی نیست و صف زیادی برای آن وجود دارد. همچنین هزینه‌های بسیار زیادی را به شرکت‌ها به‌خصوص شرکت‌های متوسط و کوچک تحمیل می‌کند که این شرکت‌ها توان پوشش چنین هزینه‌هایی را ندارند و مفسده زیادی هم در دادن مجوز ایجاد می‌شود. در اختیار قراردادن کل کد به آزمایشگاه‌ها هم ریسک‌ها و مخاطرات زیادی دارد. نرم‌افزار ماهیت زنده و پویا دارد و فرایندهای زیادی برای رسیدن به سطح مناسب امنیت از استفاده از سکوهای توسعه تا تست‌های سفید و سیاه لازم است به صورت مداوم و با فرکانس‌های مختلف صورت گیرد.»

او در ادامه بیان کرد: «در سال‌های قبل ما تجربه‌های عالی خوبی داشتیم. مشتریان ما تست‌های دوره‌ای انجام می‌دادند و از خدمات شرکت‌هایی مانند امن افزار شریف و شرکت‌های دیگر برای ارزیابی امنیتی نرم‌افزارهای ما استفاده می‌کردند. ما به بهبود تداوم عملیات کمک می‌کردیم و آن شرکت‌ها نیز به بهبود امنیت شرکت‌ها کمک می‌کردند و در مجموع ریسک عملیاتی مشتری کاهش می‌یافت. به‌مراتب آن روش‌ها مؤثر بودند.»

حاکمیت نگاهی نابالغ به امنیت دارد

محمدرضا جمالی با اشاره به نگاه حاکمیت به امنیت گفت: «نگاه نابالغ حاکمیت به مقوله امنیت ظاهراً ادامه دارد. جوان‌هایی که شب‌ها همه شما و ما دیده‌ایم که سر راه می‌ایستند، با چراغ‌قوه درون ماشین‌ها را نگاه می‌کنند و صف طولانی ایجاد می‌کنند تا کنون چقدر به امنیت کشور کمک کرده‌اند؟ چقدر دزدی‌ها کم شده و ما هفته‌ای نداریم که حداقل یک خبر از اشکال مختلف جرم از دزدی موبایل تا بزهکاری نبینیم. شاهد بودیم که چند ماه پیش چگونه همین تجمع‌ها که نتیجه جمع‌شدن مردم پشت گیت‌های امنیتی بود در حادثه تروریستی کرمان فاجعه آفرید. این نگاه نادرست به امنیت که پشت آن کسب‌وکارهای کثیفی وجود دارد و ذی‌نفعان خاصی دارد چه آسیب‌هایی به کشور نزد و حتی درگذشته‌ای نه چندان دور چه خانواده‌هایی به خاطر نگاه امنیتی نادرست به مقوله کرونا داغدار شدند و چه مرگ‌های سختی را شاهد بودیم که با سیاست‌گذاری درست قابل حل بود.»

جمالی معتقد است که در فضای سایبری نیز حاکمیت به همان شکل می‌خواهند امنیت برقرار کند. سامانه قطع شود، صف ایجاد شود، ما تک تک را چک کنیم و روش‌هایی که حتی به صورت واقعی و فیزیکی با به دست‌گرفتن بی‌سیم جواب نداده را در فضای سایبری اعمال می‌کند. امنیتی که به صورت غیرفعال (Passive) انجام شود به تداوم عملیات ضربه نمی‌زند و در شرایطی خیلی بحرانی لازم است امنیت ظاهری فعال (Active) بگیرد. اینجا هم حاکمیت به جز مرگ چیزی نمی‌آفریند. مرگی نرم که باعث اتلاف میلیاردها ساعت اتلاف وقت مردم کشور می‌شود. فقط ۱۰ دقیقه اختلال در خدمات باعث هدررفتن ۴۰۰ میلیون دقیقه از وقت نیروی فعال کشور است که با عمر کاری ۲۱ نفر معادل است. این مرگ‌های نرم هر روز اتفاق می‌افتد و اقتصاد کشور ضعیف و ضعیف‌تر می‌شود.

او ادامه داد: «حاکمیت نه بلوغ لازم در تداوم سامانه‌های حاکمیتی را دارد و نه به‌گونه‌ای مناسب در حوزه امنیت سیاست‌گذاری می‌کند و ریسک عملیاتی و زیان ناشی از آن را به‌شدت در کشور افزایش داده است. اینها همه هزینه است که به کاهش تولید ناخالص، گران اداره‌شدن کشور، تورم، اسراف در منابع می‌انجامد. در حالی که کشورهای حوزه خلیج فارس با انتقال دیجیتال (تحول دیجیتال) باعث کاهش هزینه‌ها تا ۳۰ درصد در حوزه‌های نفت و گاز شده‌اند. فقط در همین پروژه سوخت نگاه کنید چقدر با صف‌های ایجاد شده به‌خاطر طولانی‌شدن پروسه سوخت‌گیری تداوم عملیات را با مشکل مواجه کرده‌اند و صف‌های طولانی و نیاز کاذب به افزایش تعداد پمپ‌بنزین‌ها ایجاد شده است. در رابطه با امنیت هم ببینید چند بار تا الان در همین دو سال اخیر این سامانه سوخت مشکل‌آفرین شده است. اینجاست که می‌گویم حاکمیت بلوغ لازم را در طراحی، پیاده‌سازی و امنیت سامانه‌ها ندارد و با حرکت به سمت اقتصاد دیجیتال و اتصال بیشتر سامانه‌ها مشکلات بیشتر می‌شود.»

لزوم توجه به ریسک برند و شهرت شرکت‌ها

به گفته مدیرعامل شرکت نبض‌افزار ریسک‌هایی مانند ریسک عملیاتی، حقوقی، بازار، اعتباری و نقدینگی شناخته‌شده‌تر از ریسک‌هایی مانند ریسک برند و شهرت است. فرض را بر این بگذاریم که مشکلاتی در محصولات شرکت چارگون وجود دارد که صد البته در بقیه شرکت‌ها هم هست و بارها دیده‌ایم سایت سازمان‌ها و نهادها مانند ثبت‌احوال هک شده‌اند. مطرح‌کردن این مسئله در فضای عمومی چه مشکلی را بر طرف می‌کند؟ همین‌الان سه بانک که مشتری شرکت من هستند از نرم‌افزار چارگون استفاده می‌کنند. چقدر زمان لازم است که این محصول اصلاح شود و اعلام عمومی آن چه مشکلی را از کشور بر طرف می‌کند. آگاه‌سازی عمومی باعث ایجاد مشکلات بیشتری می‌شود.

جمالی با بیان خسارتی که به شرکت چارگون وارد شده است، گفت: «من جای این شرکت بودم از پلیس فتا شکایت می‌کردم و زیان سو شهرت و خسارتی که به شرکت خورده است را مطالبه می‌کردم. همین الان دامنه این مسئله ما را هم که با فاصله دور از این شرکت هستیم و از هیچ سرویس این شرکت استفاده نمی‌کنیم گرفته و فرایند اداری نامه‌های ما امروز در یکی از مشتریان که از محصول چارگون استفاده می‌کند با مشکل مواجه شده است و ما به خاطر تأخیر در پرداخت صورت‌حساب‌ها با مشکل مالی مواجه خواهیم شد. به عبارتی مشکلی امنیتی که اتفاق هم نیفتاده یا ابعاد آن خیلی محدود بوده باعث ایجاد مشکل در تداوم عملیات در بسیاری از سازمان‌های بزرگ کشور شده است. لازم است تنظیم‌گری از جنبه‌های مختلف به‌خصوص امنیت صورت گیرد ولی وقتی این تنظیم‌گری‌ها به روش درست انجام نمی‌شود، نتیجه معکوس می‌گیریم. برقراری امنیت به شیوه نادرست خودش موجب ایجاد ناامنی می‌شود.»

او در پایان بیان کرد: «وقتی به مقوله ریسک توجه درست داشته باشیم می‌بینیم که یک ریسک در یک سطح می‌تواند به ریسک دیگری در سطوح دیگر شود. قطعی سامانه سوخت که ریسکی عملیاتی است در سطح کشور تبدیل به یک مسئله امنیت ملی می‌شود. به طور مسلم ایجاد مشکل برای شرکتی مثل چارگون حالت دومینو دارد و ما شاهد عواقب و خسارت‌های ناشی از ریسک‌های مختلف در آینده نزدیک برای کارمندان، شرکای تجاری چارگون، بانک‌ها، شرکت‌ها و کل کشور خواهیم بود.»

زهرا قربانی

زهرا قربانی هستم. در رشته علوم کامپیوتر تحصیل کرده‌ام. ابتدا به‌عنوان کارآموز و به‌صورت پاره‌وقت همکاری‌ام را با راه‌کار آغاز کردم و درنهایت از مهر ۱۳۹۹ به‌صورت تمام‌وقت در تیم‌های مختلف این مجموعه مشغول فعالیت شدم. به دلیل علاقه‌ام به گزارش‌نویسی و روزنامه‌نگاری از اوایل سال ۱۴۰۱ به تیم تحریریه راه پرداخت پیوستم از آن زمان خبرنگار پایگاه خبری راه پرداخت هستم و برای هفته‌نامه کارنگ و ماهنامه عصر تراکنش هم می‌نویسم.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.